2 Bakgrunnen for lovforslaget
2.1 Behovet for å innhente opplysninger om en persons utenlandske identifikasjonsnummer fra Folkeregisteret
Bakgrunnen for forslaget er eID-tilbyderes behov for å kunne innhente opplysninger om en persons utenlandske identifikasjonsnummer fra Folkeregisteret uten hinder av taushetsplikt i forbindelse med utstedelse og bruk av norsk elektronisk identifikasjon (eID).
Det ble vedtatt en midlertidig bestemmelse i selvdeklarasjonsforskriften § 18 fjerde punktum i forbindelse med utbruddet av covid-19. Dette ga tilbydere av elektronisk identifikasjon hjemmel til å innhente opplysninger fra folkeregistermyndigheten om en persons utenlandske identifikasjonsnummer uten hinder av taushetsplikt. Hjemmelen ble første gang vedtatt 28. mai 2020 med virkning til 31. desember 2020, men har senere blitt forlenget to ganger, senest i vedtak av 26. april 2022 med virkning til 31. desember 2023.
Utenlandske identifikasjonsnumre er opplysninger som registreres i Folkeregisteret, for eksempel i forbindelse med at en person får tildelt et norsk identitetsnummer. Etter dagens praksis kan dette for eksempel være et utenlandsk personnummer eller passnummer.
Utenlandske identifikasjonsnumre er underlagt taushetsplikt etter lov om folkeregistrering. Den midlertidige hjemmelen ble vedtatt for å gjøre det mulig å utstede eID til EØS-borgere som var blitt permittert pga. pandemien og hadde reist tilbake til hjemlandet. Det ble utviklet en løsning for digital ID-kontroll, MinID Passport, som forutsatte kontroll av personens pass opp mot opplysninger om personens utenlandske identifikasjonsnummer registrert i Folkeregisteret.
Det viser seg fortsatt å være et behov for innhenting av utenlandske identifikasjonsnumre i forbindelse med utstedelse av eID til utlendinger. Hjemmelen bør fastsettes i lov for å tilfredsstille folkeregisterlovens krav om lovhjemmel. Hvilke opplysninger som kan innhentes for å oppnå en sikker og entydig identifikasjon i forbindelse med utstedelse og bruk av eID, kan konkretiseres nærmere i forskrift.
2.2 Behovet for en permanent hjemmel og for endringer
2.2.1 Erfaringer fra tidligere høring og kartlegging
I forbindelse med høringen av forslaget om den midlertidige hjemmelen ga flere av høringsinstansene uttrykk for at det er behov for tilgang til utenlandske identifkasjonsnumre også ved ordinær utstedelse av eID til utlendinger i Norge. Det ble også pekt på at det kan være behov for identitetsmatching i forbindelse med bruk av utenlandske eID-er i Norge, jf. eIDAS-forordningen.
Digitaliseringsdirektoratet og Skattedirektoratet foretok i forkant av høringen en egen utredning på oppdrag fra Kommunal- og distriktsdepartementet og Finansdepartementet. Her ble det vurdert hvilke behov som foreligger og hvilke konsekvenser det vil ha å etablere en permanent hjemmel.
I forbindelse med utstedelse og re-utstedelse av eID vil det, som en del av identitetskontrollen som skal gjennomføres, være behov for å sammenligne utenlandske identifkasjonsnumre som innhentes av eID-utstederne opp mot utenlandske identifikasjonsnumre som er registrert i Folkeregisteret. Ved en eventuell «match» vil kravet i selvdeklarasjonsforskriften om entydig kobling til folkeregistrert person kunne være oppfylt.
Kartleggingen av behovet hos de ulike eID-utstederne viser at det fortsatt er behov for å kunne gjennomføre en slik identitetskontroll for å muliggjøre eID-utstedelse til enkelte grupper som per i dag har utfordringer med å få eID. Dette gjelder blant annet EØS-borgere med d-nummer. Enkelte brukere i denne gruppen vil ikke kunne bevise eierskap til et norsk identitetsnummer i henhold til kravene i selvdeklarasjonsforskriften uten at eID-utstedere har tilgang til utenlandske identifikasjonsnumre i Folkeregisteret.
I regjeringens eID-strategi for offentlig sektor, som ble publisert i april 2023, er det en viktig målsetting at alle relevante brukergrupper enkelt skal kunne skaffe seg en eID på det sikkerhetsnivået de har behov for, og at regjeringen vil sørge for at staten på en sikker måte kan koble en identitet fra utlandet mot en norsk identitet som brukeren allerede har. En hjemmel for eID-utstedere til å få utlevert opplysninger om utenlandske identifikasjonsnumre fra Folkeregisteret vil også gjøre det mulig med en automatisert og selvbetjent prosess, som igjen medfører effektivitetsgevinster og økt tilgjengelighet. Samlet bidrar dette til å oppfylle flere mål og tiltak i ny nasjonal strategi for eID i offentlig sektor.
2.2.2 Andre formål enn utstedelse og re-utstedelse av eID
Digitaliseringsdirektoratet har identifisert formål som ikke ble dekket av den midlertidige hjemmelen, dvs. andre formål med innhenting av utenlandske identifikasjonsnumre enn utstedelse og re-utstedelse av eID. Det gjelder etterlevelse av regelverk i finanssektoren, herunder rapportering og etterlevelse av hvitvaskingsreglene.
Dette gjelder imidlertid kun for BankID og er ikke et formål som gjelder eID-utstedere generelt i forbindelse med ID-kontroll eller utstedelse av eID. Det gjelder også bruk av utenlandsk eID-ordning i Norge og oppfyllelse av anerkjennelsesplikten i eIDAS-forordningen artikkel 6, dvs. plikten til å anerkjenne notifiserte eID-er på tvers av EU/EØS.
Forslag til revidert eIDAS-forordning innebærer et forsterket lovkrav i tilknytning til dette. Et siste formål er «matching» av identiteter for oppfyllelse av Single Digital Gateway-forordningen for å gi en person tilgang til en tjeneste i et annet land. Dette forutsetter mulighet for å koble personens identitet fra hjemlandet med identiteten i landet tjenesten skal ytes.
Utenlandske identifikasjonsnumre i Folkeregisteret vil derfor kunne ha en rolle ved gjennomføring og oppfyllelse av både någjeldende og kommende europeisk regelverk.
2.2.3 Behovet for endringer i folkeregisterregelverket
Skattedirektoratet konkluderer i sin utredning med at det ikke er avdekket behov som tilsier at folkeregisterregelverket må endres for at eID-tilbyderne skal kunne få en permanent tilgang til utenlandske identifikasjonsnumre. Skattedirektoratet ser likevel at det kan være behov for enkelte forbedringer i regelverk og rutiner. Direktoratet påpeker at det er en forutsetning for å kunne imøtekomme eID-tilbydernes behov at opplysninger om utenlandske identifikasjonsnumre faktisk registreres og er tilgjengelig og har tilstrekkelig kvalitet.
Skattedirektoratet foreslår derfor tiltak som kan bedre datakvaliteten og føre til økt tilfang av opplysningen, tiltak som det er behov for uavhengig av om utenlandske identifikasjonsnumre skal benyttes til nye formål.
Direktoratet bemerker at det ikke vil være mulig å registrere utenlandske identifikasjonsnumre i alle sammenhenger, fordi ikke alle har legitimasjonsdokumenter eller tilsvarende der dette fremgår.
Skattedirektoratet bemerker ellers at det ved innføring av en permanent hjemmel antagelig vil bli behov for minimum én ny rettighetspakke for deling av utenlandske identifikasjonsnumre til eID-tilbydere. Etter den midlertidige hjemmelen fikk eID-tilbyderne tilgang til rettighetspakken «Offentlige og private virksomheter med hjemmel», dvs. en rettighetspakke som inneholder alle taushetsbelagte opplysninger i Folkeregisteret. Denne løsningen innebærer tilgang til overskuddsinformasjon, noe som kan være i strid med dataminimeringsprinsippet i personvernforordningen.
Finansdepartementet legger til grunn at det ikke er aktuelt å omklassifisere utenlandske identifikasjonsnumre til opplysninger som ikke er underlagt taushetsplikt i Folkeregisteret, slik tilfellet er med fødsels- og d-nummer. Dette har sammenheng med at utenlandske identifikasjonsnumre omfatter forskjellige opplysningstyper (passnummer, nasjonalt ID-nummer, Tax Identification Number og trygdenummer), og at flere land har begrensninger på bruk og deling av identifikasjonsnumre. Blant annet er opplysningene taushetsbelagt i enkelte EU-land.
2.3 Gjeldende rett
2.3.1 Lov om elektroniske tillitstjenester og forskrift om selvdeklarasjon
Lov 15. juni nr. 44 om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester) gjennomfører forordning (EU) nr. 910/2014 (eIDAS-forordningen).
Forordningen skal legge til rette for økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS og bidra til sterkere økonomisk vekst i det indre marked. Forordningen er todelt og regulerer gjensidig aksept av løsninger for eID og gjensidig aksept av elektronisk signatur og andre tillitstjenester.
Det er vedtatt en rekke gjennomføringsrettsakter til forordningen, bl.a. en gjennomføringsrettsakt som fastsetter sikkerhetsnivåer, forordning (EU) 2015/1502 om fastsettelse av tekniske minstespesifikasjoner for elektroniske identifikasjonsmidler (identifikasjonsnivåforskriften). Gjennomføringsrettsaktene er gjennomført i forskrift av 21. november 2019 nr. 1577 om tillitstjenester for elektroniske transaksjoner, fastsatt med hjemmel i lov om elektroniske tillitstjenester § 1 annet ledd, jf. delegeringsvedtak 8. november 2019 nr. 1491.
Norske tilpasninger til de konkrete kravene som skal oppfylles etter identifikasjonsnivåforskriften går frem av forskrift 21. november 2019 nr. 1578 om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften) del III. De norske sikkerhetsnivåene bygger på kravene som er nedfelt i identifikasjonsnivåforskriften.
I forbindelse med utstedelse av eID må identifikasjonspåstanden gjelde en person som finnes i Folkeregisteret, og utstederen av eID må kunne gi en sikker og entydig kobling til denne personens identifikator i Folkeregisteret (fødsels- eller d-nummer), jf. selvdeklarasjonsforskriften § 18, første og annet punktum. At koblingen er «sikker og entydig» innebærer at koblingen ikke kan baseres på personens navn eller andre kjennetegn som kan være i bruk av flere personer, jf. tredje punktum.
Ved fremvisning av utenlandske identitetsbevis må det i tillegg «godtgjøres» en entydig knytning til et fødsels- eller d-nummer i Folkeregisteret, jf. selvdeklarasjonsforskriften § 19 første ledd, første strekpunkt, annet alternativ. For ordens skyld gjøres det oppmerksom på at ikke alle med behov for det vil kunne få tildelt fødsels- eller d-nummer.
Dersom det for eksempel skal utstedes en eID til en utenlandsk borger, som viser frem et utenlandsk pass og passet inneholder tilsvarende opplysninger som er registrert i Folkeregisteret – for eksempel samme personidentifikator eller samme passnummer – så vil det kunne opprettes en sikker og entydig forbindelse mellom det utenlandske identifikasjonsnummeret og det norske fødsels- eller d-nummeret i Folkeregisteret.
Her vil tre ulike krav i selvdeklarasjonsforskriften være oppfylt: Personidentifikatoren eller passnummeret går frem av både passet og av den registrerte identiteten i Folkeregisteret, og det skjer en gjenkjenning av nummeret (det «matcher»). Den utenlandske borgeren har derfor «godtgjort» en entydig knytning til et slik fødsels- eller d-nummer, og oppfyller derfor kravet i både selvdeklarasjonsforskriften § 18 første punktum, og selvdeklarasjonsforskriften § 19 første ledd, første strekpunkt, annet alternativ.
Denne «knytningen» er ikke utelukkende basert på personens navn eller andre kjennetegn som kan være i bruk av flere personer, men et identifikasjonsnummer. Utenlandske personnumre eller personidentifikatorer vil være unike og persistente, mens et passnummer normalt også er unikt og stabilt over en gitt tid og oppfyller derfor kravet i selvdeklarasjonsforskriften § 18 annet punktum.
Den midlertidige hjemmelen i selvdeklarasjonsforskriften § 18 fjerde punktum innebar at eID-tilbydere kunne innhente opplysninger fra folkeregistermyndigheten om en persons utenlandske identifikasjonsnummer uten hinder av taushetsplikt. Den midlertidige hjemmelen ble vedtatt under covid-19-pandemien fordi det var viktig å få raskt på plass en løsning for digital ID-kontroll. Den midlertidige løsningen skulle sikre hjemreiste EØS-borgere norsk eID, i en tid hvor reiserestriksjoner gjorde det umulig eller svært vanskelig å gjennomføre fysisk ID-kontroll og utlevere eID på ordinær måte.
2.3.2 Folkeregisterloven
I lov 9. desember 2016 nr. 88 om folkeregistrering (folkeregisterloven) skilles det mellom utlevering av taushetsbelagte opplysninger og utlevering av opplysninger som ikke er underlagt taushetsplikt. Etter lovens § 10-1 første ledd kan offentlige myndigheter og virksomheter få utlevert ikke-taushetsbelagte opplysninger fra Folkeregisteret, mens utlevering av taushetsbelagte opplysninger krever hjemmel i særlov, jf. folkeregisterloven § 10-2 første ledd.
Folkeregisterloven § 9-1 fastsetter i første ledd at enhver som behandler personopplysninger etter loven, har taushetsplikt om det han eller hun får kjennskap til i sitt arbeid. I § 9-1 annet ledd er det gjort konkrete unntak fra taushetsplikten. Det følger av folkeregisterloven § 9-1 annet ledd at
«Taushetsplikten omfatter ikke opplysninger om en persons fulle navn, fødselsdato, kjønn, fødsels- og d-nummer, grunnlaget for registrert identitet etter § 3-2, adresse, fødested, statsborgerskap, sivilstand, vergemål, stadfestet fremtidsfullmakt og dødsdato, med mindre slike opplysninger røper et klientforhold eller andre forhold som gjør at opplysningene må anses personlige. Det samme gjelder historiske opplysninger om navn og adresse.»
Opplysningene som listes opp i folkeregisterloven § 9-1 annet ledd, anses som ikke-taushetsbelagte opplysninger og kan utleveres til offentlige myndigheter og virksomheter, og visse private virksomheter og aktører, etter søknad til Skatteetaten, jf. folkeregisterloven § 10-1 første og annet ledd. Privatpersoner og andre private aktører kan også få utlevert ikke-taushetsbelagte opplysninger fra Folkeregisteret om navngitte og identifiserbare personer gjennom entydige søk. Listen i § 9-1 annet ledd anses som uttømmende, med unntak for underkategorier av hovedkategoriene som er nevnt i opplistingen.
Etter folkeregisterloven § 3-1 første ledd bokstav u, kan det til hvert enkelt fødsels- eller d-nummer i Folkeregisteret registreres opplysninger om utenlandske identifikasjonsnumre. Utenlandske identifikasjonsnumre kan for eksempel være nasjonalt ID-nummer, Tax Identification Number og Social Identification Number, jf. merknader til folkeregisterloven § 3-2 og folkeregisterforskriften § 3-1-1 første ledd bokstav u i Folkeregisterhåndboken, kapittel 3 under § 3-2. Her vises det også til at utenlandske identifikasjonsnumre kan være opplysninger om utenlandsk legitimasjonsdokument som f.eks. passnummer.
Opplysninger om utenlandske identifikasjonsnumre er ikke nevnt i opplistingen over opplysninger som er unntatt taushetsplikt, og regnes derfor som en taushetsbelagt opplysning etter folkeregisterloven. Det vil si at alle former for slike utenlandske identifikasjonsnumre vil være omfattet av taushetsplikten etter folkeregisterloven. For utenlandske identifikasjonsnumre følger det derfor av folkeregisterloven § 10-2 første ledd at offentlige og private myndigheter og virksomheter må ha hjemmel i særlov for å kunne innhente slike opplysninger fra Folkeregisteret uten hinder av taushetsplikt.
Deling av opplysninger fra Folkeregisteret reguleres av folkeregisterloven kapittel 10. Folkeregisteret benytter rettighetspakker som regulerer hvilke opplysninger som tilgjengeliggjøres og hvordan opplysningene kan innhentes. Hvorvidt opplysningene er taushetsbelagt, har betydning for om og hvordan opplysningstypen kan deles med Folkeregisterets konsumenter. Utenlandske identifikasjonsnumre, som er taushetsbelagt, er kun inkludert i rettighetspakken til konsumenter som har hjemmel i egen lov til å innhente taushetsbelagte opplysninger, jf. folkeregisterloven § 10-2.
Alle registrerte opplysninger om utenlandske identifikasjonsnumre i Folkeregisteret deles med konsumenter med tilgang til rettighetspakken med taushetsbelagte opplysninger fra Folkeregisteret, så lenge slike opplysninger er registrert.
Pga. den ekstraordinære situasjonen som var under pandemien, ble det ikke opprettet en egen rettighetspakke, men eID-tilbyderne fikk tilgang til den allerede eksisterende rettighetspakken «Offentlige og private virksomheter med hjemmel».
Et norsk fødsels- eller d-nummer (en identifikator) benyttes for å identifisere en bestemt person i Norge. Dersom vi skal gjenkjenne en utenlandsk borger, trenger vi også en eller annen form for identifikator som gjør det mulig å gjenkjenne vedkommende. Dette kan være ulike utenlandske identifikasjonsnumre.
Fødsels- og d-numre betegnes som unike og persistente identifikatorer, i det disse kan benyttes over tid (persistent) for å gjenkjenne en person uten forvekslingsfare (unik). Praksisen fra Folkeregisteret tilsier at utenlandske identifikasjonsnumre også omfatter opplysninger som er mindre persistente og unike, siden passnummer og lignende dokumentidentifikatorer omfattes av begrepet. I likhet med nasjonale identifikatorer, kan det ikke uten videre legges til grunn at utenlandske identifikatorer unikt identifiserer en person utover landegrenser.
Utenlandske identifikasjonsnumre har ingen legaldefinisjon eller noe entydig innhold. Begrepet omfatter data som kan benyttes som identifikator, er noenlunde persistente og er utstedt av en utenlandsk myndighet.
Folkeregisterloven § 3-1 første ledd bokstav u, gir adgang til å registrere utenlandske identifikasjonsnumre. Departementet kan i forskrift gi nærmere regler om «hvilke underkategorier og tilleggsopplysninger» som kan registreres til den enkelte opplysning. Til folkeregisterloven § 3-1 er det gitt en bestemmelse i folkeregisterforskriften § 3-1-1. Her fremgår det at det «i tilknytning til» opplysning om utenlandske identifikasjonsnumre i bokstav u, kan registreres «opplysninger om utenlandsk legitimasjonsdokument».
I tillegg til å gi anledning til å registrere passnummer eller ID-kortnummer, omfattes også enkelte andre opplysninger som står i legitimasjonsdokumentet, som utenlandsk nasjonalt ID-nummer eller skattenummer.
2.3.3 Forholdet til personvern
Lov 15. juni 2018 nr. 38 (personopplysningsloven), fastslår at personvernforordningen (GDPR) gjelder som norsk lov og setter rammer for behandling av personopplysninger. Enhver opplysning om en identifisert eller identifiserbar fysisk person regnes som en personopplysning, jf. personvernforordningen artikkel 4 nr. 1.
Behandling av personopplysninger er bare lovlig dersom minst ett av behandlingsgrunnlagene i personvernforordningen artikkel 6 nr. 1 bokstavene a til f er oppfylt. Det følger av personvernforordningen artikkel 6 nr. 3 at «grunnlaget for behandlingen» som nevnt i artikkel 6 nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer at bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlag. Den behandlingsansvarlige må i tillegg kunne vise til et supplerende rettsgrunnlag for behandlingen. Den foreslåtte hjemmelen i lov om elektroniske tillitstjenester, vil utgjøre et slikt supplerende rettsgrunnlag.